今天,我想分享一些非常简单且有帮助的事情。你们中的一些人可能已经知道它,但对于那些不知道的人,我希望您会发现它很有趣并且它非常适合您的库存。 :t
所有测试均在 Windows 11 23H2/Windows 10 22H2 上进行,使用我将要解释的工具和技术,并使用 Cobalt Strike 4.9.1 作为 C2 框架。如果从容器中提取文件并将其粘贴到目录(例如桌面)上,SmartScreen 不会收到警报。
今天我想分享一些非常简单且有用的东西。你们中的一些人可能已经知道这一点,但我希望那些不知道的人会发现它很有趣并且适合您的库存。 :t
所有测试都是在 Windows 11 23H2/Windows 10 22H2 上完成的,使用我将要解释的工具和技术,以及作为 C2 平台的 Cobalt Strike 4.9.1。如果从容器中删除文件并将其粘贴到目录(例如桌面)中,SmartScreen 不会发出警告。
1.- 使用类似以下工具构建容器:
https://github.com/mgeeky/PackMyPayload
有许多 GUI 开源工具可以构建需要安装的容器,例如 mkisofs 等。
注意:容器=.iso/.img
2.- 将您的容器存储在以下任意网络项目上。这将为我们的下载域提供更多信任。出于测试目的,这不是强制性的,但为什么不把事情做好,对吧?
https://lots-project.com/
3.- 我在静态和运行时分析中使用干净的有效负载,我不知道在静态上检测到的恶意软件。
4.- 在 Edge 之后,Chrome 不会将您的有效负载/恶意软件检测为恶意软件。这将是一个干净的下载。您会注意到,运行容器内的文件没有 Web 标记,并且不会触发 Windows SmartScreen(有效负载必须从目录运行,而不是从容器内部运行,否则 SmartScreen 将发出警报/警告)
未签名的可执行文件.exe,可以使用该方法绕过谷歌浏览器警报。但 Microsoft Edge 会标记为恶意。
远离可执行文件总是更好,DLL 比它们更隐蔽。我个人推荐使用它们 + DLL 旁加载。
快乐黑客
1. 使用类似以下工具创建容器:
https://github.com/mgeeky/PackMyPayload
有许多开源 GUI 工具可以创建需要安装的容器,例如 mkisofs 等。
笔记。容器=.iso/.img。
2.- 将容器保存在以下任意网络项目中。这将为我们的下载域提供更多信任。出于测试目的,这不是必需的,但为什么不做好呢,对吧?
https://lots-project.com/
3.- 我在静态和运行时分析中使用纯有效负载。我不知道在 static 中发现任何恶意软件。
4.- 此后,Edge Chrome 不会将您的有效负载/恶意软件检测为恶意软件。这将是干净启动。您会注意到,运行容器内的文件没有 Web 标签,并且不会启动 Windows SmartScreen(有效负载必须从目录启动,而不是从容器内部启动,否则 SmartScreen 将发出警告/警告
未签名的可执行 .exe 文件可以使用此方法绕过 Google Chrome 警告。但 Microsoft Edge 将被标记为恶意。
远离可执行文件总是更好,DLL 比它们更隐秘。就我个人而言,我建议使用它们 + 旁加载 DLL。
Leave a Reply